SIDERWEB - La community dell'acciaio

La fabbrica deve "abituarsi" alla sicurezza

La security deve trasformarsi in qualcosa di quotidiano, con figure dedicate interne ad ogni azienda

Nell’articolo introduttivo, nel quale ho promesso poi di approfondire diverse tematiche legate al mondo dell’industrial cybersecurity, ho esordito con un’affermazione un po’ forte: "La fabbrica non è abituata alla sicurezza". Vero? Dipende…

Come già anticipato, è giusto nuovamente specificare che la parola sicurezza per noi italiani assume diversi significati a seconda del contesto in cui viene utilizzata, mentre nella lingua inglese, si sceglie di utilizzare due vocaboli per meglio rappresentarne le diverse funzioni: safety e security. 

Negli ambienti produttivi la sicurezza dei lavoratori è definita come safety e risulta essere ad oggi ancora uno dei principi fondanti delle nostre aziende nonché diritto dei lavoratori. Quando si parla di safety non si può non pensare a tutti i corsi obbligatori, spesso erogati anche a figure professionali che con la sicurezza nei cantieri hanno ben poco a che fare, ma di certo non si può affermare che manchi particolare attenzione o un lato formativo in questo ambito.

Con security invece si fa riferimento alla sicurezza delle informazioni e, in questo caso, è davvero difficile poter dichiarare di aver raggiunto un livello di consapevolezza e maturità adeguato. Il lavoro da fare è ancora molto, ma sicuramente stanno anche crescendo le aziende in grado di supportare in questi percorsi di adeguamento tecnologico e di processi. Questo permette, a chi si mostra sensibile al tema, di poter attingere ad una vasta gamma di prodotti e figure specializzate e proprio per questo la consapevolezza acquisisce ruolo chiave.  

Ad una riunione interna aziendale un giorno dissi che le linee guida tipiche della sicurezza dei dati diventeranno come i caschetti e le scarpe infortunistiche nei cantieri e questo si sta a tutti gli effetti realizzando. Il regolamento generale sulla protezione dei dati, noto come GDPR, ha iniziato a spingere le aziende verso un approccio completamente innovativo e ad una maggiore attenzione riguardo la protezione dei dati personali introducendo regole e, purtroppo o per fortuna, anche un apparato sanzionatorio. È seguito poi il NIS, un regolamento specifico per le aziende di servizi essenziali e che sicuramente sarà solo un ulteriore tassello di un puzzle che diverrà, col tempo, sempre più completo e articolato.

Mi aspetto che anche la security si trasformi in qualcosa di quotidiana amministrazione, con figure dedicate interne ad ogni azienda e con regole ben definite da rispettare al fine di tutelare le informazioni che, nella loro totalità, rappresentano non solo le proprietà intellettuali o le liste clienti ma anche tutto ciò che permette ad un macchinario di funzionare come programmato.

Esiste però un'altra faccia della medaglia ed è rappresentata da tutti i casi in cui safety e security si intersecano creando casistiche comuni ed influenzandosi a vicenda.

Questo non solo è possibile, ma ci sono fatti di cronaca, ad oggi sempre più frequenti, che raccontano come attacchi informatici abbiano compromesso il funzionamento di un sistema produttivo anche per anni e che potrebbero, in casi limite, anche coinvolgere direttamente la salute dei lavoratori. Non si sta parlando solo di avvenimenti recenti, basti pensare al caso Stuxnet che risale al 2010 in cui la centrale di Natanz in Iran, a causa di un attacco informatico (forse uno dei più iconici degli ultimi anni) ha visto le centrifughe dedicate all’arricchimento impazzire, andando fuori controllo: da 1.064 giri/minuto si passò ad una rotazione di 1.410 giri/minuto. Questo attacco, made in USA e diffuso tramite una pennetta USB infetta, ha colpito in modo estremamente duro il mercato iraniano.

Non è difficile immaginare cosa potrebbe accadere se un attacco di questo tipo coinvolgesse macchinari che necessitano di un’interazione uomo-macchina elevata presentando comportamenti non attesi.

È pertanto impossibile pensare di escludere dal tavolo "industrial" anche figure specifiche in sicurezza delle informazioni. Queste figure devono necessariamente fungere da mediatori fra chi si schiera per la sola disponibilità del servizio e chi invece per la security che, se non applicata correttamente, potrebbe ovviamente anche fungere da collo di bottiglia per alcuni processi industriali. (articolo 2 di 4)

di Giancarlo Gervasoni
VP Sales, Marketing, R&D, Purchasing
Zerouno Informatica spa

G. G.